После лечения CureIt, осталось много непонятных записей.
После лечения CureIt посмотрите логи
После лечения CureIt, осталось много непонятных записей.
Последний раз редактировалось tehnik34; 20.05.2010 в 16:16.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\DETER177\lsass.exe',''); QuarantineFile('C:\WINDOWS\system32\9A9954\803518.EXE',''); QuarantineFile('C:\WINDOWS\SVIQ.EXE',''); QuarantineFile('C:\WINDOWS\Mstray.exe',''); DeleteFile('C:\WINDOWS\Mstray.exe'); DeleteFile('C:\WINDOWS\SVIQ.EXE'); DeleteFile('C:\WINDOWS\system32\9A9954\803518.EXE'); DeleteFile('C:\WINDOWS\system32\DETER177\lsass.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
3.Код:O4 - HKLM\..\Run: [RavTimeXP] C:\WINDOWS\Mstray.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [lsass] C:\WINDOWS\system32\DETER177\lsass.exe O4 - HKCU\..\Run: [dc2k5] C:\WINDOWS\SVIQ.EXE O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\9A9954\803518.EXE O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1Обновлять надо.Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Тем более что там кидо:
4. Повторить логиКраткое описание семейства Net-Worm.Win32.Kido. (По ESETу Win32/Conficker)
Способы удаления
Удаление сетевого червя производится с помощью специальной утилиты KK.exe.
Локальное удаление:
1. Скачайте архив KK_v3.4.7.zip и распакуйте его в отдельную папку на зараженной машине.
2. Запустите файл KK.exe .
Замечание
По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту KK.exe с ключом -y.
3. Дождитесь окончания сканирования.
ВниманиеЕсли на компьютере, на котором запускается утилита KK.exe , установлен Agnitum Outpost Firewall, то по окончании работы утилиты обязательно перезагрузите компьютер.
4. Выполните сканирование всего компьютера с помощью вашего Антивируса.
Внимание! С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
* Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001 (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его).
* Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр. Либо сменить ранее установленный пароль локального администратора.
* Отключить автозапуск исполняемых файлов со съемных носителей, запустив утилиту KK.exe с ключом -a.
* Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана.
The worst foe lies within the self...
Карантин выслал, сейчас обновлю систему и выполню все остальное.
Вот логи
Последний раз редактировалось tehnik34; 20.05.2010 в 16:16.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\drivers\smikmm.sys',''); SetServiceStart('abp470n5', 4); DeleteService('abp470n5'); QuarantineFile('C:\WINDOWS\system32\igfxtray.exe',''); QuarantineFile('C:\WINDOWS\system32\hkcmd.exe',''); QuarantineFile('C:\WINDOWS\sttray.exe',''); DeleteFile('C:\WINDOWS\system32\drivers\smikmm.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\smikmm.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"
2.Есть подозрение на файловый вирус..
The worst foe lies within the self...
Все выполнил
Последний раз редактировалось tehnik34; 20.05.2010 в 16:16.
Скажите у меня все или есть на что то подозрение?
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\01.tmp - Net-Worm.Win32.Kido.jq ( DrWEB: Win32.HLLW.Autoruner.5555, BitDefender: Win32.Worm.Conficker.A )
Уважаемый(ая) tehnik34, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
